5-Ч 


УДК 004.942 


О.Р. Чертов, Д.Г. Павлов, В.В. Мальчиков, М.В. Александрова 

Національний технічний університет України «Київський політехнічний інститут», 
м. Київ 

спегіоу(Ф1і.ма 


Виявлення аномальної поведінки користувача 
системи контекстної реклами 


У статті розглядається ринок інтернет-реклами, зокрема контекстної, формалізується взаємодія об'єктів та 
суб'єктів процесу проведення рекламної кампанії в мережі. В результаті аналізу взаємозв'язків 
будуються моделі поведінки можливих зловмисників в системі та демонструється можливість застосування 
недиадного вейвлет-перетворення для визначення наявності аномальної поведінки користувачів. 


Вступ 


Інтернет все глибше проникає у різноманітні сфери діяльності суспільства. Ця тен- 
денція не оминула й рекламний ринок. З кожним роком доля інтернет-реклами зростає 
як в Україні (рис. 1), так і в цілому в світі (рис. 2) |1-6|. Це зумовлено більш високою 
ефективністю, відносною дешевизною та легкістю проведення рекламної кампанії, по- 
рівняно із рекламою в традиційних засобах масової інформації. 
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Рисунок 1 - Розвиток ринку Рисунок 2 - Розвиток світового 
інтернет-реклами в Україні ринку інтернет-реклами 


Найпопулярнішим різновидом реклами в мережі Інтернет є контекстна реклама. 
При її використанні рекламні оголошення демонструються на суміжних за тематикою 
сайтах або як результати пошуку за визначеними ключовими словами. Тематика кон- 
текстних рекламних посилань пов'язана із тематикою «навколишнього середовища». 
Завдяки цьому суттєво підвищується ймовірність зацікавленості користувача у продукті, 
який рекламується. 

Оплата за розміщення оголошення контекстної реклами здійснюється залежно від 
обраної моделі рекламної кампанії: СРС (собі рег спек), СРМ (собі рег плійе), СРА (собі 
рег асйїоп), коли рекламодавець сплачує кожен клік, кожну тисячу показів або реєстрацію 
конверсії (деякої заздалегідь визначеної дії користувача). 

Проте рекламні повідомлення в Інтернеті є вразливими до специфічного шах- 
райства: склікування та споказування. Склікування (сіїсК їгаца) або споказування (йпр- 
гез55іоп апа) - це різновид мережного шахрайства, коли імітується клік або показ 
оголошення |7|. Цілі проведення подібних заходів можуть бути різними: вичерпання 
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рекламного бюджету конкурента, отримання вищої позиції при показі оголошення 
зловмисника, власне збагачення (наприклад, власник сайта, на якому розміщене рек- 
ламне повідомлення, отримує деяку плату за кожен перехід за оголошенням). 

На даний момент існують певні методи боротьби із мережним шахрайством: філь- 
трація всіх кліків в режимі реального часу (шаблони Сообіе |8|), використання альтер- 
нативних моделей проведення рекламних кампаній, як-то: плата за дію (СРА), плата 
за відсоток показів (рау рег регсепіаєе ої ітрге85іопя) |9|. Проте мережне шахрайство 
ще має значні масштаби - об'єм недійсних кліків оцінюється від 590 до 5097 | 10). 

Метою даної роботи є аналіз взаємодії учасників процесу проведення рекламної 
кампанії в Інтернеті і побудова моделей поведінки можливих зловмисників. Отримані 
моделі можна використовувати для визначення наявності аномальної поведінки корис- 
тувача системи контекстної реклами. 


Постановка задачі 


Під час проведення будь-якого нападу типова психологія поведінки зловмис- 
ника відповідає моделі інформаційної атаки (рис. 3). 


Рисунок 3 - Модель інформаційної атаки 


Ця модель включає фази: «фоновий шум» (1), «проба» (П), «затишшя» (ШІ), «ата- 
ка» (ТУ), які у випадку мережного шахрайства відповідають природному рівню кліків по 
оголошенню (звичайна активність користувачів), першій спробі проведення нападу, ви- 
чікуванню результатів та склікуванню (споказуванню) оголошення. 

Цілі та особливості проведення нападу 1, відповідно, конкретний вигляд шаб- 
лону поведінки відрізняються залежно від того, до якої групи учасників належить злов- 
мисник. Тому можна визначити моделі проведення подібного нападу кожною з мож- 
ливих груп учасників і використовувати отримані результати для визначення наявності 
аномальних дій. 


Моделювання взаємодії учасників процесу 


В процесі створення та підтримки рекламної кампанії в Інтернеті беруть участь 
такі суб'єкти: рекламодавець, рекламне агентство, компанія, що надає послуги інтернет- 
реклами (рекламна компанія), власник сайта, що використовується як рекламний майдан- 
чик, та відвідувачі (люди, які переглядають рекламне повідомлення). На рис. 4 подано 
графічну ілюстрацію взаємодії учасників процесу. 

Звичайні прямокутники зображають об'єкти процесу, закруглені - суб'єкти. Пунк- 
тирними фігурами зображені рекламні майданчики, а точковими лініями показано нап- 
рямок дії відвідувачів (тобто мету, з якою ними був здійснений перехід по оголошенню). 
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Процес створення будь-якої рекламної кампанії починається з вибору сайта, що 
буде рекламуватися, адже кожне рекламне повідомлення є посиланням на відповід- 
ний сайт. Після цього рекламодавець може запустити рекламу цього сайта за допомогою 
таких компаній, як Со07єЇе Адмогая, Уапдех Рігесі, Веєип, які розміщують рекламні 
посилання серед результатів пошуку та на різноманітних сайтах. Рекламодавець пла- 
тить за розміщення оголошень залежно від обраної моделі рекламної кампанії: СРС, 
СРМ, СРА (для контекстної реклами). 

Як реклама в мережі Інтернет також використовуються різні види оптимізації. 
Перш за все це 5КО (зеагср еподіпе орітітаноп) або пошукова оптимізація. Задачею ЗБО 
є виведення сайта на перші позиції серед результатів пошуку. Для цього викорис- 
товуються як легальні методи (наповнення сайта більш релевантним змістом, оптимі- 
зація сайта), так і нелегальні (створення подвійних сторінок, одна з яких демонструється 
відвідувачу, а інша сканується роботами пошукової мережі). Останнім часом широкою 
популярністю також користується оптимізація під соціальні медіа-ресурси 5МО 
(зосіа! педа орітіганоп) та маркетинг в соціальних медіа 5ММ (5осіаї тедйіа тагкейпе). 
Ця технологія використовує елементи піару та розміщує їх на соціальних медіа-сайтах. 

Теоретично кожен рекламодавець може самостійно проводити контекстну рек- 
ламну кампанію в Інтернеті, проте це не є простою задачею. Для цього необхідними 
є не лише знання маркетингу, але й уміння ефективно працювати із системами роз- 
міщення реклами, що можливо лише за наявності інформації про їх особливості та 
можливості. Тому зручно користуватися послугами рекламних агентств, задачею яких є 
підтримка та підвищення ефективності рекламної кампанії. Завдяки спеціальним знан- 
ням та досвіду працівники таких агентств можуть проводити кампанію на більш високому 
рівні. Рекламодавець платить агентству за ефективність та якість проведення рек- 
ламної кампанії (підвищення відвідуваності сайта, збільшення обсягів продажів тощо). 
Альтернативний шлях проведення рекламної кампанії з використанням рекламного 
агентства як проміжної ланки зображено штриховою лінією. 

Якщо власник сайта бажає розміщувати на ньому рекламні повідомлення, йому 
необхідно створити відповідний обліковий запис (наприклад, аккаунт Сообіє АдЗепе5е). 
Автоматизовані системи відповідних рекламних кампаній розміщують на сайті кон- 
кретні оголошення зі схожою тематикою (дотримання принципів контекстної реклами). 
Власник сайта отримує певну платню за кожен клік (перехід) по оголошенню. Йому 
забороняється явним чином закликати відвідувачів натискати на рекламні повідо- 
млення. Легальним методом підвищення зацікавленості користувачів є покращення 
дизайну, наповнення сайта корисними матеріалами тощо. Власник сайта та рекламна 
компанія підтримують двосторонній зв'язок, що приносить прибутки обом сторонам. 

Таким чином, відвідувач (людина, яка натиснула на рекламне посилання) може 
переглядати рекламні повідомлення серед результатів пошуку, на сайтах та в соціальних 
мережах, блогах (відповідні зв'язки зображено штрих-пунктирною лінією). При цьому 
на рекламному майданчику розміщується або рекламне повідомлення (контекстна, 
банерна та інші види реклами), або посилання на відповідний сайт (ЗММ), або сам 
сайт як результат пошуку (5КО). 

Всі відвідувачі можуть бути поділені на такі підкласи: 

- клієнт; 
- представник рекламного агентства; 
- конкурент рекламодавця; 
- власник сайта; 
- «незалежний зловмисник». 
В табл. І вказано мету відвідування для кожного із вказаних підкласів. 
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Таблиця 1 - Підкласи відвідувачів та їх цілі 


Підклас відвідувача Ціль відвідування 
клієнт ознайомлення із рекламним продуктом 
представник рекламного агентства вплив на якість рекламної кампанії, що 

проводиться іншими рекламними 
агентствами 
конкурент рекламодавця негативний вплив на якість рекламної 
кампанії рекламодавця 
власник сайта власне збагачення 
«незалежний зловмисник» інше 


Особливості поведінки окремих груп зловмисників 


З наведеної моделі взаємозв'язків можна виділити чотири групи потенційних 

зловмисників, кожній з яких властиві свої цілі та характер поведінки: 
1) конкурент рекламодавця; 

2) власник сайта; 

3) рекламне агентство; 

4) «незалежний зловмисник». 

Конкурент рекламодавця може склікувати оголошення для розтрачання реклам- 
ного бюджету останнього та отримання вищої позиції під час показу. Для досягнення 
останньої мети зловмиснику необхідно повністю вичерпати денний бюджет рекла- 
модавця (сума, яку рекламодавець згоден витратити на рекламу щоденно), котрий 
визначає - яку кількість кліків необхідно зробити для того, щоб припинився показ 
оголошення (оновлення денного бюджету відбувається в 00:00 кожного дня). В даному 
випадку фаза «проби» використовується саме для визначення розміру денного бюджету. 

Ще одним вагомим фактором є часовий проміжок демонстрації оголошення. 
Засоби проведення рекламних кампаній надають можливість самостійно налаш- 
товувати цей параметр. Очевидно, що найбільш прибутковим є той час, коли більшість 
потенційних клієнтів знаходяться в мережі. Для переважної більшості рекламних 
кампаній -- це робочий день, тобто часові проміжки з 9:00 до 13:00 та з 14:00 до 18:00. 
Тому для досягнення успіху зловмисник має склікати оголошення або до початку ро- 
бочого дня, або під час обідньої перерви (для фази «проби» ця вимога не є обов'язковою). 

Під час проведення пробного та кінцевого нападів зловмиснику необхідно від- 
ключити власні рекламні кампанії, в іншому випадку він нашкодить самому собі. Пози- 
ція оголошення під час показу визначається двома параметрами: максимальною ставкою 
за клік - найбільша ціна, яку рекламодавець згоден платити за один перехід по ого- 
лошенню - та рейтингом кліків СТВ (сПсКк Шгоцеб гаїе) - відношення кількості кліків 
до кількості показів впродовж деякого проміжку часу. Таким чином, генеруючи штучні 
кліки для оголошень конкурента, зловмисник генерує штучні покази для свого оголо- 
шення, що призводить до зниження рейтингу кліків та, відповідно, позиції оголошення. 

Власник сайта може використовувати мережне шахрайство для власного збага- 
чення, адже він отримує плату за кліки. На одному сайті розміщується велика кількість 
оголошень, отже, дії такого зловмисника будуть розосередженими по всіх наявних 
рекламних повідомленнях. Найважливішим для власника сайта є обережність, оскільки 
в даному випадку визначення конкретного зловмисника за наявності підозри є три- 
віальною задачею. Тому фаза «проба» необхідна для визначення особливостей реакції 
захисних систем рекламної кампанії на можливий напад (власник сайта може в будь- 
який момент переглянути стан свого бюджету, чи була отримана плата за кліки). «Атака» 
проводитиметься лише тоді, коли зловмисник буде впевненим у своїх діях. Досяг- 
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нення деякого високого рівня кліків не є обов'язковим. Навіть декілька кліків щоденно 
будуть приносити прибуток. 

Для визначення недійсних кліків необхідно проводити аналіз трафіку всіх реклам- 
них оголошень, що розміщені на сайті. 

Рекламне агентство може використовувати склікування (споказування) як конку- 
рентну боротьбу. Зменшення ефективності рекламних кампаній, що проводяться іншими 
рекламними агентствами, призводить до невдоволення рекламодавців 1 готує підгрунтя 
для переманювання клієнтів. Якщо рекламні кампанії рекламних агентств викорис- 
товують однакові ключові слова, то необхідно відключити демонстрацію рекламних 
повідомлень кампаній, що проводяться зловмисником, аби не нашкодити власним 
клієнтам. При цьому під час проведення склікування зловмисник не має інших засобів 
перевірки ефективності своїх дій, окрім як припинення показу оголошення. Тому зада- 
чею 1 фази «проба», і фази «атака» є вичерпування денного бюджету оголошень. Це 
означає, що при проведенні розвідувального етапу кліки будуть більш розосередже- 
ними впродовж дня. 

Для визначення наявності шахрайства, так само як і в попередньому випадку, ло- 
гічно сумісно аналізувати показники всіх рекламних кампаній, що підтримуються даним 
рекламним агентством. 

Останню групу складають «незалежні» зловмисники. Метою їх діяльності є підрив 
іміджу рекламної кампанії. Очевидно, що при виявленні наявності мережного шах- 
райства клієнти будуть незадоволені якістю захисних систем компанії та можуть при- 
пинити демонстрацію своїх оголошень або подати судовий позов. Для нанесення більшої 
шкоди обираються найдорожчі рекламні повідомлення, для яких ціна за один клік може 
досягати десятків доларів США. 

Метою діяльності цієї групи не є пряме чи опосередковане самозбагачення, тому 
головною задачею є проведення нападу таким чином, щоб захисні системи не змогли 
відфільтрувати недійсні кліки. Фаза «проби» буде поступовою і, можливо, довготрива- 
лою (проводитиметься в декілька етапів). 

Для двох останніх груп ефективним методом досягнення поставленої мети є спо- 
казування (зниження значення СТЕ призведе до зменшення якості рекламної кампанії). 


Використання недиадного вейвлет-перетворення 
для визначення наявності аномальної поведінки 
користувачів 


Зазначені вище особливості поведінки зловмисників проявляються у вигляді 
деяких «зайвих» екстремумів в числових рядах кількості кліків. Для виявлення таких 
непланових піків пропонується використовувати вейвлет-перетворення. Методи теорії 
вейвлетів на даний час застосовуються для пошуку особливостей заданого типу в 
сигналах різноманітної природи. Завдяки вейвлет-аналізу можна отримати не тільки 
інформацію про наявність в досліджуваному сигналі певної частоти (в даному випадку -- 
кількості кліків), але й визначити моменти часу, в які відбувається зміна частот |1 1), (12). 

Виділяють два класи вейвлет-перетворень -- неперервні та дискретні. Незважаючи 
на те, що неперервне вейвлет-перетворення дозволяє отримати результати аналізу даних у 
зручному для подальшої інтерпретації вигляді, в практичних задачах найчастіше вико- 
ристовується дискретне вейвлет-перетворення, оскільки його можна обчислити за допо- 
могою швидкого пірамідального алгоритму Малла. 

В силу більш ефективної програмної реалізації зазвичай застосовується так зване 
диадне вейвлет-перетворення, тобто вейвлет-перетворення із коефіцієнтом масштабуван- 
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ня, який дорівнює двом. Однак не завжди його використання буде оптимальним, 
особливо коли шукані важливі особливості даних потрапляють в декілька сусідніх 
частотних інтервалів. В цих ситуаціях набагато ефективніше розділити частотну область 
на інтервали таким чином, щоб кожен частотний інтервал повністю охоплював особ- 
ливості, які досліджуються. Подібну операцію можна виконати, обираючи відмінний від 
двох коефіцієнт масштабування, тобто використовуючи недиадні вейвлет-перетворення. 

У випадку аналізу кількості кліків для виявлення зловмисників застосування 
диадного вейвлет-перетворення може не привести до бажаних результатів саме через 
те, що на кожному кроці диадного вейвлет-перетворення часовий діапазон кожного 
разу поділяється навпіл. При цьому після виконання двох кроків будуть отримані часові 
інтервали 0-6, 6-12, 12-18, 18-24, а після третього виконання вейвлет-розвинення -- 
інтервали 0-3, 3-6, 6-9, 9-12, 12-15, 15-18, 18-21, 21-24. Таким чином, якщо злов- 
мисник намагається провести атаку до початку робочого дня (наприклад, в проміжку 
між 4 та 5 годинами ранку), то після виконання як двох кроків вейвлет-розвинення, 
так і трьох кроків проміжок часу, який нас цікавить, потрапляє в два сусідні інтервали. 
Тому використання недиадних вейвлет-перетворень є більш оптимальним. 

Авторами було проведено аналіз існуючих методів недиадного дискретного 
вейвлет-перетворення, виділені їх основні характеристики та надані рекомендації 
щодо класів задач, в яких може бути застосований той чи інший метод | 131. 

При часовому аналізі даних про кількість кліків має сенс розбиття повної доби 
на три восьмигодинних проміжки з подальшим розбиттям кожного з них на чотири 
двочасових (в останньому випадку двічі послідовно потрібно застосувати диадне перет- 
ворення), тобто потрібно використовувати вейвлет-перетворення із динамічною зміною 
коефіцієнта масштабування. 

Найбільш оптимальним в такому випадку є застосування методу Поллока (141. 


Висновки 


У статті розглянуто ринок контекстної реклами, побудовано модель взаємодії учас- 
ників процесу проведення рекламної кампанії в мережі Інтернет. 

На основі аналізу отриманої моделі були виділені чотири групи можливих злов- 
мисників (людей, для яких мережне шахрайство може бути вигідним). Для кожної групи 
вказані цілі, що їй властиві, та особливості поведінки під час проведення нападу. Вони ви- 
значають відмінності шаблонів поведінки окремих груп від загального шаблону інфор- 
маційної атаки. В результаті були збудовані конкретні шаблони поведінки кожної групи 
та надані рекомендації щодо їх використання. 

Визначення наявності аномалій, які відповідають шаблонам, пропонується викону- 
вати за допомогою недиадного вейвлет-перетворення. 
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Вьжявление аномального поведения пользователя системьт контекстной рекламьт 

В статье рассматриваєтся рьтнок интернет-рекламіі, в частности контекстной, формализуєтся взаймодействиє 
обьектов и субьектов процесса проведения рекламной кампаним в сети. В результате анализа взаймосвязей 
строятся модели поведения возможньтх злоумьшиленников в системе, а также демонстрируєтся возможность 
применения недиадного вейвлет-преобразования для определения наличия аномального поведения 
пользователей. 


О.В. СПепіу, Р.С. Раміоу, У.У. Маїспукоу, М. У. Аіехапагоуа 

РДегесііоп ої "пе Арпогта! Сопіехіша! Адуегіїзіпо 5Зу5кет |5ег Верауіог 

Іл сштепі рарег Пегпеї-адуегіїгіпо, плагкеї, сопіехіша! адуегіїзіпє їп рагіїсиіаг, 15 соп5ідегей; іпіегасіоп 
Бебмееп 5ці)єсів апа обієсів ої ре Пегпеї-адуегіїгіпе ргосе55 15 Гога вад. ВеїайопяНір апаЇузіє гезціїв іп 
роз58ібіе їтапазієгя" Бераміог плодеіз соп5ігасйоп. Мопаїадіс уаусісі-ігап5богй п5е Бог пе пеег8" абпогта! Бераміог 
Чекесіоп 15 детлопзігаїеа. 


Стаття надійшла до редакції 01.07.2010. 


«Штучний інтелект» 4"2010 483 


